AP geeft AVG-boete van 15.000 euro aan bedrijf dat ziektes registreerde

| AE 12676 | Ondernemingsvrijheid, Privacy | 3 reacties

De Autoriteit Persoonsgegevens heeft een boete van 15.000 euro opgelegd aan een bedrijf dat zijn systeem om ziekteverzuim te registreren slecht beveiligde. Dat meldde Tweakers onlangs. Ook verzamelde het bedrijf onterecht meer gezondheidsgegevens dan was toegestaan, zoals specifieke klachten en verloop van de ziekte. Opmerkelijk is vooral dat de boetes volgens de regels zouden neerkomen op respectievelijk 725.000 en 310.000 euro voor de twee overtredingen, maar gematigd worden tot 15.000 euro vanwege de beperkte omvang van het bedrijf.

Het wordt natuurlijk al heel lang geroepen: blijf van de medische gegevens van je personeel af. Daar heb je als werkgever niets mee te doen, de arts of verzekeraar meldt je wanneer meneer of mevrouw weer aan het werk kan en wat dan de beperkingen of benodigdheden zijn. Toch blijken hele horden werkgevers deze informatie nog steeds te noteren, dus het signaal van deze boete is ontzettend belangrijk.

Natuurlijk zijn er dingen die je als werkgever wel moet weten. Maar dat is een beslissing van de arts of het relevant is, en die zal het dan met je delen. Als werkgever mag je daar niet zelf informatie over bijhouden, eigen dossiers over opbouwen of wat dies meer zij. Ook niet als je denkt dat de werknemer simuleert en niet echt ziek is. Dat is en blijft een medisch oordeel.

Dit bedrijf hield een verzuimregistratie bij in een Google Drive bestand. En dat bleek zonder enige beveiliging toegankelijk via internet, logisch dus dat de AP daarover viel. Bovendien zag men dat in die registratie de reden van verzuim (over zowel de fysieke als mentale gezondheid), de prognose en de opmerkingen over de verzuimreden en prognose over deze werknemers) was opgenomen, wat natuurlijk in strijd is met de AVG.

Maar wat mag er dan wel? De AP citeert haar eigen richtlijnen, ik doe dat ook maar even:

De gegevens die volgens de beleidsregels ‘De zieke werknemer’ (2016, maar AVG-proof geschreven) wél mogen worden verwerkt zijn:

  • de werkzaamheden waartoe de werknemer niet meer of nog wel in staat is (functionele beperkingen, restmogelijkheden en implicaties voor het soort werk dat de werknemer nog kan doen);
  • de verwachte duur van het verzuim;
  • de mate waarin de werknemer arbeidsongeschikt is (gebaseerd op functionele beperkingen, restmogelijkheden en implicaties voor het soort werk dat de werknemer nog kan doen);
  • eventuele adviezen over aanpassingen, werkvoorzieningen of interventies die de werkgever voor de re-integratie moet treffen.
De gegevens die volgens deze beleidsregels niet mogen worden verwerkt, zijn onder meer:
  • diagnoses, naam ziekte, specifieke klachten of pijnaanduidingen;
  • eigen subjectieve waarnemingen, zowel over geestelijke als lichamelijke gezondheidstoestand;
  • gegevens over therapieën, afspraken met artsen, fysiotherapeuten, psychologen e.d.;
  • overige situationele problemen, zoals relatieproblemen, problemen uit het verleden, verhuizing, overlijden partner, scheiding e.d.
Het verschil tussen die twee zit hem in het belang voor het werk. Weten wat iemand niet meer kan kan en wanneer zhij weer begint, dat heeft een werkgever nodig. Weten waaróm iemand iets niet meer kan, dat is een ander verhaal. “Meneer moet na 30 minuten zitten een half uur staan”, daar kun je prima mee aan de slag als werkgever zonder dat je hoeft te weten of het versleten ruggewervels zijn of voorkomen van een migraine. Ook je eigen inschattingen “ze zegt migraine maar lijkt mij smoesje vanwege arbeidsconflict” horen niet in zo’n dossier thuis.

Tegelijk begrijp ik die werkgevers ook wel: het is heel logisch, ook vanuit betrokkenheid naar je personeel, dat je zulke dingen noteert. Dat wil je onthouden, je wilt inzicht en begrip. Maar omdat er ook werkgevers zijn die dit noteren om “zelf te beoordelen of je weer ziek bent” of vanuit het idee dat zij beter kunnen inschatten wat de werknemer nodig heeft, is dit wettelijk verboden.

Arnoud

ParkeerWekker: boetes via scanauto zijn mogelijk in strijd met privacywet

| AE 12656 | Ondernemingsvrijheid | 32 reacties

ParkeerWekker, een door de rechter in Amsterdam verboden dienst voor gebruikers om scanauto’s te detecteren als ze voorbij hun auto of gebouw rijden, stelt dat opgelegde bekeuringen door een scanauto mogelijk in strijd met de privacywet zijn. Dat meldde Tweakers onlangs. Het argument is dan dat die bekeuringen waarschijnlijk automatisch worden uitgedeeld, met hooguit steekproefsgewijs een controle, en dat mag niet van de AVG he meneertje. Mijn juridische tenen jeuken want het zíjn geen bekeuringen, en bovendien: dat is niet het probleem van belastingontduikstimuleerder ParkeerWekker.

Volgens de rechter in februari handelt het bedrijf achter de app in strijd met de wet, doordat de gebruikers met de meldingsdienst worden aangezet tot parkeren zonder betalen van parkeerbelasting. Want ja, wat je betaalt om te mogen parkeren is géén boete (een strafrechtelijke sanctie) maar een belasting (een plicht binnen het bestuursrecht).

Maar hoe dan ook, je hebt een probleem als je artikel 22 AVG inroept bij overheidshandelen. Want artikel 40 lid 1 Uitvoeringswet AVG bepaalt dat artikel 22, AVG verordening niet geldt als zo’n automatisch besluit “noodzakelijk is om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust of noodzakelijk is voor de vervulling van een taak van algemeen belang.” En ik zie wel hoe parkeerbelastingheffing iets is waarbij je automatisch scannen redelijkerwijs nodig hebt, gezien het aantal parkeerbewegingen in de gemiddelde grote stad.

Wel moeten er dan passende maatregelen omheen zitten, zodat je als burger niet helemaal in de kou staat zodra er een onterechte boete wordt opgelegd. Maar dat terzijde.

Wat dit alles verder met ParkeerWekker te maken heeft? Ik zou het niet weten. Het idee van “met onze app voorkom je vergeetachtigheid” vond ik al niet door de giecheltoets komen, nu een pivot maken naar een principiële burgerrechtenhandhaver “met onze app vecht je ex artikel 22 AVG tegen de automatische bureaucratie!” doet me helemaal gillend van het lachen onder tafel rollen. Nog los van dat ik niet snap hoe dat dan zou moeten werken.

En dat is een probleem want je kunt alleen in hoger beroep als je een redelijk belang hebt bij je claim. “De gemeente schendt de wet bij haar wijze van parkeerbelastingheffing” is alleen een argument voor mensen die die belasting geheven kregen. Heel misschien voor belastingbetaalfaciliteerapps zoals Parkmobile, Parkline of Yellowbrick. Maar een app die zegt “gauw betalen want er komt een scanauto”, nee die zie ik niet.

Arnoud

Mag je je klanten verbieden (met boete) je producten op Marktplaats door te verkopen?

| AE 12548 | Ondernemingsvrijheid | 33 reacties

Via Twitter: “Wist je dat als je de waterontharder Amfa4000, ja die van die irritante lifestyleprogramma’s, koopt en dan wil verkopen op marktplaats dat niet mag?” Of je nou consument bent of niet, het is kennelijk héél erg niet de bedoeling aldus dit bedrijf. Het mag niet, en het mag al helemaal niet als je het onder de aanschafprijs doet. Maar mag dát eigenlijk, doorverkoop verbieden van een tweedehands product?

Het doorverkoopverbod staat inderdaad in de algemene voorwaarden:

Het is de afnemer van producten van ondernemer, al dan niet zijnde een consument, niet toegestaan de afgenomen producten door/weder te verkopen op online platformen zoals Marktplaats, Bol.com, Amazon, etc., behoudens de voorafgaande schriftelijke toestemming van ondernemer. In aanvulling op de voorgaande volzin geldt een verbod voor het door-/wederverkopen van producten van ondernemer onder de prijs waarvoor ondernemer het product te koop aanbiedt op haar website (https://www.waterontharder.com).
En nog een forse contractuele boete er bij ook: 5.000 euro per geval, plus 500 euro per dag dat je er niet mee stopt. Dat kan flink oplopen natuurlijk, op papier. Maar inderdaad, papier is geduldig, houdt dit wel stand?

Voor mij voelt dit als stevige juridische bluf. Allereerst dat “al dan niet zijnde een consument”. Dus kennelijk ook consumenten mogen dit niet? Nou, vergeet het maar. Als je als consument iets koopt, behoor je de eigendom te verkrijgen. En de wet zegt dat dat “vrij van alle bijzondere lasten en beperkingen” moet zijn (artikel 7:15 lid 1 BW). Die voorwaarde hierboven is een bijzondere last, en moet er dus af.

En ja, er staat in dat artikel dan “met uitzondering van die welke de koper uitdrukkelijk heeft aanvaard” maar algemene voorwaarden zijn het tegenovergestelde van “uitdrukkelijk aanvaarden”. Dus dat gaat niet werken. Ik zou het hilarisch vinden als men nu een aanvinkvakje met “ik ga akkoord de afgenomen producten niet door te verkopen op straffe van een boete” gaat opnemen, dus laten we ze niet vertellen dat dat óók een algemene voorwaarde is omdat diezelfde tekst voor alle klanten gebruikt wordt. En “uitdrukkelijk aanvaarden” is precies niet hetzelfde als “verplicht een vinkje zetten.

Bij zakelijke overeenkomsten kan er meer, inclusief het verkopen met zo’n bijzondere last. In juridische taal, artikel 7:6 lid 1 BW bepaalt dat alleen bij consumentenkoop artikel 7:15 BW dwingend recht is. Dus het zou kunnen, net zoals je bij een zakelijke verkoop kunt zeggen dat het product zonder enige verwachting van conformiteit (art. 7:17 BW) geleverd wordt en men maar garantie moet bijkopen.

Alleen: een verbod op doorverkoop van goederen is natuurlijk best wel, hoe zeg je dat juridisch, een hardcore beperking van de vrije markt. Ja, dat is een juridische term: dat zijn de dingen die gewoon per definitie nóóit mogen in een afspraak tussen leverancier en zakelijke afnemer. Het dicteren van de doorverkoopprijs voor de afnemer hoort daarbij, net als het verdelen van de markt en het voor jezelf houden van de online wederverkoop. Daar is dan één nuance op, aldus de ACM:

Het verbieden dat de afnemer producten via een online marktplaats verkoopt om bijvoorbeeld het luxe imago van het product te beschermen is geen hardcore beperking.
Daarvoor moet dan wel het product een luxe imago hebben. Ik heb altijd moeite dat argument in te zien als de leverancier verkoopt vanuit <generiekwoord> puntcom, zoals hier. En meer algemeen, een luxe waterontkalker? Dat wil er bij mij niet in.

Arnoud

 

Kun je de stagiair aansprakelijk houden voor 600 te vervangen sloten?

| AE 12550 | Informatiemaatschappij, Privacy | 20 reacties

We kennen allemaal het stagiair-excuus: bij de meest uiteenlopende problemen (vaak de beschamende) wordt er dan gauw gezegd dat de stagiair het heeft gedaan. Lekker makkelijk, denk ik dan altijd, het is jóuw stagiair dus daar had je wel even mogen opletten. Maar bij dit Duitse geval weet ik het even niet. Deze stagiair was zo… Lees verder

Oh sjonge, optimaliseren van onze website is dus een boetewaardige cookietekst

| AE 12395 | Privacy | 12 reacties

De Franse privacyautoriteit CNIL heeft Google en Amazon een boete van respectievelijk 100 miljoen en 35 miljoen euro gegeven, las ik bij Nu.nl. Het boetebesluit is opmerkelijk omdat het gewoon recht voor z’n raap beboet wat veel mensen al lang zeggen maar bedrijven gewoon blijven doen: direct een tracking cookie zetten en ook nog eens… Lees verder

Kansspelautoriteit mag EA dwangsom opleggen voor FIFA-lootboxen

| AE 12355 | Ondernemingsvrijheid, Regulering | 9 reacties

De Kansspelautoriteit (Ksa) mag FIFA-maker Electronic Arts (EA) en zijn Europese dochterbedrijf beide een dwangsom van 250.000 euro per week opleggen, zo las ik bij Nu.nl. Dit naar aanleiding van een vonnis van de rechtbank Den Haag dat een besluit van de Kansspelautoriteit hierover in stand liet. Het gaat natuurlijk om de lootboxen die in… Lees verder

Deze startup ontmaskert scanauto’s om parkeerboetes te voorkomen

| AE 12197 | Ondernemingsvrijheid | 68 reacties

Oké dan. Een startup uit Amsterdam werkt aan een dienst die scanauto’s van gemeentelijke parkeerdiensten herkent en gebruikers een seintje geeft zodra zo’n controleur een geparkeerde auto passeert, las ik bij Sprout. Zo kun je snel parkeerbelasting voldoen (en deze club €1,49 betalen voor de alert sms), wat voor de goedwillende maar vergeetachtige gemiddelde bestuurder absoluut een verrijking… Lees verder

Rijk worden van schadeclaims lijkt me niet de bedoeling, ook niet voor fotojournalisten

| AE 12149 | Intellectuele rechten | 88 reacties

Zonder toestemming overnemen op sociale media van professioneel gemaakte beelden is diefstal. Zo, met die fijngevoelige opening start NVJ-secretaris Thomas Bruning zijn betoog dat het een schande is dat rechters tegenwoordig maar zo weinig geld toewijzen bij foto-auteursrechtinbreuk. Rechters zijn steeds kritischer, bovendien krijg je je proceskosten niet meer vergoed én de grote techbedrijven zijn… Lees verder

BKR krijgt boete van 830.000 euro wegens geld vragen voor inzage dossier

| AE 12055 | Ondernemingsvrijheid | 15 reacties

Het Nederlandse Bureau Krediet Registratie krijgt een boete van 830.000 euro omdat het geld vroeg aan mensen om versneld hun eigen dossiers in te zien. Dat meldde Tweakers maandag. Voor gratis inzage moest je vier weken wachten en een kopie identiteitsbewijs opsturen. Wie betaalde, kreeg direct toegang en wel elektronisch. Dat laatste maakt natuurlijk het… Lees verder

Dat mag dus toch niet, persoonsgegevens van je leden verkopen?

| AE 11812 | Ondernemingsvrijheid, Privacy | 46 reacties

De KNLTB heeft van de Autoriteit Persoonsgegevens (AP) een geldboete gekregen van ruim een half miljoen euro voor het verstrekken van persoonsgegevens aan twee commerciële partners. Dat meldde het AD onlangs. De tennisbond gaat in beroep tegen de sanctie. De verstrekking is in strijd met de AVG, omdat er geen invulling van het eigen gerechtvaardigd… Lees verder